Bei Googles Veranstaltung Pwnium hat ein Hacker den ersten Exploit für das linuxbasierte Betriebssystem Chrome OS demonstriert. Obwohl er nur unzuverlässig funktioniert, entschied sich Google, ihm 40.000 Dollar Preisgeld zuzusprechen. Er habe „eine plausible Fehlerkette aufgezeigt, die Videoparsing, einen Bug im Linux-Kernel und eine fehlerhafte Config-Datei involvierte. Enthalten war ein unzuverlässiger Exploit, der einen der Fehler nutzte.“
Bei dem Hacker handelt es sich um Pinkie Pie, der im Rahmen von Googles letztjährigem Sicherheitswettbewerb im Oktober den Browser Chrome gecrackt hatte. Google dankte ihm auch dafür, dass er „dem Geist des Wettbewerbs entsprechend“ zur Deadline einen teilweisen Exploit geliefert habe, statt Details für einen kompletten Exploit zurückzuhalten. „Das bedeutet, dass wir schneller Fixes entwickeln und das OS härten können, um die Nutzer sicher zu halten.“ Für einen vollwertigen Exploit auf Browser- oder Systemebene hätte der Hacker nämlich 110.000 Dollar bekommen, für einen auch Reboots überstehenden Hack sogar 150.000 Dollar.
Die genauen Probleme sind nur Chromium-Entwicklern bekannt, Google hat sie aber in der Chrome-OS-Version 25.0.1364.173 vom 15. März behoben. Öffentlich wurde lediglich kommuniziert, dass durch einen fehlerhaften Prozess ein Overflow des Grafikprozessors möglich war und eine weitere Schwachstelle im Treiber für die Intel-Grafik i915 steckte.
Über den Wettbewerb hinaus weist Google darauf hin, dass es im Rahmen des Chromium Vulnerability Reward Program fortlaufend jeden honoriert, der Fehler im Browser Chrome für Desktop und Mobile oder in Chrome OS findet. „Wir haben im Lauf der Jahre mehr als 900.000 Dollar Prämien verteilt und hoffen, bald noch mehr ausgeben zu können. Eine Beteiligung der Security-Community ist mit der beste Weg, alle Internetnutzer abzusichern.“
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Technik funktioniert überall oder zumindest fast überall. In einem klimatisierten Büro mag ein herkömmlicher Laptop…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
Das Datenleck betrifft den Kreditvergleich. Unbefugte haben zwischenzeitlich Zugriff auf die Kreditvergleiche anderer Kunden.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
